прочитал цитату :
модифицированные системные файлы исключаются из списка защиты sfc /scannow
таким образом они работают в составе системы, но функция защиты уже не реагирует на изменение этих файлов. После этого модифицированные файлы можно изменять и удалять, а модифицированная система не восстановит их на место, как сделала бы оригинальная система. Как итог — система может перестать правильно работать уже после того, как криворукий разработчик ПО установит свои версии библиотек прямо в системную папку, заменяя существующие, не говоря уже о возможностях для вредоносного ПО..

Возник вопрос: что если... на оригинальной системе, специально написанный троян изменит этот список защиты, команда - sfc /scannow проверит и выдаст уведомление что всё ок Но sfc /scannow не знает что троян заменил этот список так? )) Как узнать что список защиты тоже оригинальный?

Как узнать что список защиты тоже оригинальный? »сличить sfcfiles.dll с файлом с оригинального дистрибутива.

специально написанный троян изменит этот список защиты »MS нигде, никогда, не позиционировала SFC как "защиту от вирусов/троянов", но тем не менее постоянно находятся люди, для которых "любая защита"≡"защита от вирусов".
Но это не так. Опасности для системы многочисленны и разнообразны. Вирусы и трояны по опасности далеко не на первом месте.

сличить sfcfiles.dll с файлом с оригинального дистрибутива. »
Ос win7 У меня такого файле нет в системе MS нигде, никогда, не позиционировала SFC как "защиту от вирусов/троянов", но тем не менее постоянно находятся люди, для которых "любая защита"≡"защита от вирусов".
Но это не так. Опасности для системы многочисленны и разнообразны. Вирусы и трояны по опасности далеко не на первом месте. »
я, не говорил что использую средства проверки системных файлов - как основную защиту от вирусов.
да и почему она не может служить дополнительной защитой? если на вашем же форуме при лечении компьютера от заразы в каждой второй теме советуют выполнять - sfc /scannow

на оригинальной системе, специально написанный троян изменит этот список защиты, команда - sfc /scannow проверит и выдаст уведомление что всё ок Но sfc /scannow не знает что троян заменил этот список так? ) »Вы про какой список вообще говорите?
Мне больше представляется что SFC проверяет по хешу системных файлов, нежели по цифровой подписи этих самых файлов, которую изменить не большая проблема.

Вы про какой список вообще говорите? »
По которому sfc /scannow проверяет системные файлы.
Мне больше представляется что SFC проверяет по хешу системных файлов, нежели по цифровой подписи этих самых файлов, которую изменить не большая проблема. »
Не знал этого. 'Если это действительно так то тему можно закрыть.

owere, Описание механизма защиты файлов Windows (http://support.microsoft.com/kb/222193/ru).

В статье написано что восстанавливает по подписи а не по хешу
Для защиты файлов операционной системы в WFP предусмотрены два механизма. Первый механизм работает в фоновом режиме и активируется после того, как WFP получает уведомление об изменении папки для файла из защищенной папки. После получения этого уведомления WFP определяет, какой файл был изменен. Если был изменен защищенный файл, WFP находит в файле каталога подпись защищенного файла для проверки правильности версии нового файла. Если версия является неправильной, новый файл заменяется исходным из папки кэша (если он там имеется) или источника установки. Поиск файла допустимой версии производится в следующем порядке

да и почему она не может служить дополнительной защитой? »потому что ни вирусам ни троянам нет никакой нужды модифицировать системные файлы.
"Никакой" от слова "совсем".

нет никакой нужды модифицировать системные файлы »
Простите...это же самое заветное место... или я как то не так понял?
Тот же "последний" rpcss.dll не входит в число оных? а тот же hosts? и уно , уно.

потому что ни вирусам ни троянам нет никакой нужды модифицировать системные файлы. »
да что вы говорите http://virusinfo.info/showthread.php?t=51654

Тот же "последний" rpcss.dll »1 искдючение лишь подтверждает правило
2 95% населения - идиоты. Кто то из них и вирусы пишет через одно место, создавая неоправданные сложности и себе и заражённым.а тот же hosts? »host ни коим образом не системный файл, и в контексте текущей беседы, файл host не входит в списки sfc и никак им не проверяется.

искдючение лишь подтверждает правило »
Ну а как же всеми "любимые" Explorer.exe, Taskmgr.exe, Userinit.exe, Logonui.exe и к примеру та же библиотека sfcfiles.dll ?
А файловые "заражатели" типа Салити и Вирут, которые "вошемона" любят системные файлы?
Или тут тоже исключение?
Самый лакомый кусок для вирусописателей это системные файлы и выражение типа
потому что ни вирусам ни троянам нет никакой нужды модифицировать системные файлы. »
не терпит никакой критики.
Кто то из них и вирусы пишет через одно место, создавая неоправданные сложности и себе и заражённым. »
А в итоге идет заражение системных/защищенных файлов.... и создаются заплатки, и антивирусные компании создают алгоритмы лечения, а все из за глупых юзеров/вирусописателей , которые не понимают, что ни вирусам ни троянам нет никакой нужды модифицировать системные файлы » :)